Ci stavo pensando per un po '. Supponiamo di avere un'app per la quale esiste una console di amministrazione e dobbiamo fornire l'accesso alla console di amministrazione tramite il browser (sì, HTTPS).
Per l'autenticazione, invece di chiedere una password, sarebbe più sicuro?
- Preparare una serie di domande molto insolite di ambito molto ampio, le risposte a cui difficilmente potrebbero piacere amici o familiari. E almeno è lecito ritenere che nessuno possa conoscere la risposta a tutte queste domande del tutto. Queste domande possono essere cose come cose minori che accadono nella tua vita e non contano abbastanza da dirlo a nessuno.
- Memorizza le risposte a queste domande in una forma normalizzata. Quindi ritaglia gli spazi bianchi, rimuovi la punteggiatura, ecc. E li salda come se li stessi facendo con le password.
- Al login, fai queste domande in ordine casuale (e chiedi solo una parte delle domande, in modo che il set sia diverso la prossima volta che l'hacker tenta di accedere). Alla fine, verifica tutte le risposte insieme e, se sono valide, registra l'utente.
Mi chiedo se questo sarà più sicuro dei metodi attuali in circolazione. In caso contrario, c'è qualcosa che mi manca?